:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition CWE (Common Weakness Enumeration) Was ist CWE (Common Weakness Enumeration)?
Common Weakness Enumeration ist eine frei zugängliche Auflistung typischer Schwachstellen in Software und Hardware. Sie kategorisiert die Schwachstellen und dient als Basis und gemeinsame Sprache zur Identifizierung sicherheitsrelevanter Schwächen. Die Liste wird von der Community gepflegt und von der MITRE Corporation veröffentlicht. Regelmäßig erscheint eine Top-25-Liste mit den 25 bedeutendsten Schwachstellen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
CWE ist die Abkürzung für Common Weakness Enumeration. Es handelt sich um eine von der Community gepflegte und von der MITRE Corporation veröffentlichte Auflistung verschiedener Typen von Schwachstellen in Soft- und Hardware. Die Schwachstellen sind kategorisiert und erhalten eindeutig identifizierbare IDs. Dadurch bildet die Liste eine Grundlage und allgemeingültige Sprache zur Identifikation, Beschreibung, Vorbeugung und Beseitigung typischer Soft- und Hardware-Schwachstellen.
Die MITRE Corporation betreibt die über das Internet frei zugängliche Liste seit 2006. Die aktuelle Version der Liste ist die Version 4.3 und enthält über 900 Schwachstellen. Darunter befinden sich Schwachstellen wie Buffer Overflows, Cross-Site-Scripting, fest einkodierte Passwörter oder unsichere Zufallszahlen. Einsetzbar ist Common Weakness Enumeration beispielsweise für Schwachstellenanalysen in neu entwickelter Software, für Sicherheitstests oder zur Vorbeugung von Risiken bei der Nutzung von Hard- und Software. Große Unternehmen wie Apple oder Microsoft gehören der Common Weakness Enumeration Community an.
:quality(80)/images.vogel.de/vogelonline/bdb/1743500/1743574/original.jpg "Während die ursprüngliche CWE Top 25 sich auf wichtige Klassen von Softwarefehlern fokussierte, werden werden sie im Update von 2019 mit genauen Praxisdaten untermauert. (gemeinfrei)")
MITRE Common Weakness Enumeration (CWE)
Die 25 gefährlichsten Softwarefehler und ihre praktische Relevanz
Die Ziele der Common Weakness Enumeration
Wichtigstes Ziel der Common Weakness Enumeration ist es, durch Auflistung der Schwachstellen die typische Fehler und Schwächen in Hard- und Software zu vermeiden, noch bevor die betroffenen Produkte in Umlauf kommen. Sicherheitsanalysten, Programmierer oder Entwickler können sich der Liste bedienen und sie für ihre Arbeit verwenden. Schwachstellen lassen sich in einer allgemeingültigen Sprache beschreiben und diskutieren. Darüber hinaus liefert die Auflistung nicht nur die Beschreibungen der typischen Schwächen, sondern auch Beispiellösungen und konzeptionelle Ansätze, wie sie sich beheben lassen.
Einige Beispielschwachstellen der Common Weakness Enumeration
Um Common Weakness Enumeration besser zu verstehen, im Folgenden einige beispielhafte Schwachstellen der über 900-Einträge langen Liste. Jede Schwachstelle erhält eine eindeutige ID in der Form von "CWE-IDXY".
- CWE-19: Data Handling
- CWE-121: Stack-based Buffer Overflow
- CWE-229: Improper Handling of Values
- CWE-303: Incorrect Implementation of Authentication Algorithm
- CWE-494: Download of Code without Integrity Check
- CWE-532: Information Exposure through Log Files
- CWE-640: Weak Password Recovery Mechanism
- CWE-760: Use of a One-Way Hash with a Predictable Salt
- CWE-835: Loop with Unreachable Exit Condition (Infinite Loop)
- CWE-912: Hidden Functionality (Backdoor)
Über die Internetseite der MITRE ist die Liste frei zugänglich. Sie lässt sich online nach verschiedenen Kriterien filtern, sortieren und durchsuchen oder kann vollständig in Form von HTML-, CSV-, PDF- oder XML-Dateien heruntergeladen werden. Die PDF-Datei der aktuellen Version 4.3 umfasst 2325 Seiten.
:quality(80)/images.vogel.de/vogelonline/bdb/1743500/1743581/original.jpg "Ein nicht zu unterschätzender Mehrwert der CWE Top 25 besteht darin, Schwachstellen nicht nur zu identifizieren und zu beschreiben, sondern sie in einem Praxiskontext zu erklären. (gemeinfrei)")
MITRE Common Weakness Enumeration (CWE)
Was bringt die „CWE Top 25“ Liste?
Common Weakness Enumeration Top 25
Regelmäßig aktualisiert und veröffentlicht die MITRE die Common Weakness Enumeration Top 25. Sie enthält die 25 als am gefährlichsten eingeschätzten Schwachstellen. In der Top-25-Liste des Jahres 2020 sind beispielsweise die fehlende Authentisierung für kritische Funktionen, die Nutzung fest kodierter Passwörter, das Cross-Site Request Forgery (CSRF), die ungenügende Prüfung von Eingaben oder das Offenlegen sensibler Informationen für nicht autorisierte Anwender enthalten. Mit Hilfe der Top 25 lassen sich Risiken für Schwachstellen realistisch einschätzen, da die Liste in gewisser Weise die Entwicklung der Cyberkriminalität widerspiegelt.
(ID:47067097)
:quality(80)/p7i.vogel.de/wcms/25/2e/252e69bf4d108fdbd4b898208323bbd6/0112115119.jpeg "Ein Schwachstellen-Scanner ist eine Software zur automatisierten Untersuchung auf Sicherheitslücken. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d8422b76f83573d91d2e64e9754eff34/0109557548.jpeg "So findet man verwundbare Systemstellen, ein Interview von Oliver Schonschek, Insider Research, mit Dirk Reimers und Jannik Pewny von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")